Services informatiquesÉtudesLe site Radio Freedom
Page publiée le . Pardon pour la dysorthographie, les articles sont à corriger

Le site Freedom, un cas d’école à La Réunion (974)

Radio Freedom est la radio la plus populaire à La Réunion, c’est une radio basée sur la libre antenne, les informations routières et les potins locaux. Dans cet article démonstratif de mes compétences c’est son site internet qui nous intéresse, c’est un cas d’école dans l’étude des sites mal réalisés, on y trouve une bonne concentration des défauts possibles. C’est un site internet réalisé par des amateurs et c’est en tout cas loin du niveau attendu pour une radio qui a des milliers et presque des millions d’auditeurs.

J’établis ici une liste non exhaustive de défauts majeurs que j’ai identifié. Je pense moi personnellement qu’une radio de l’ampleur de Radio Freedom devrait avoir un expert informatique en interne et à disposition sous astreinte. Internet a prit une place tellement importante dans la vie des entreprises et des gens qu’il n’est plus possible de sous-traiter ce genre de services et d’autant plus quand on est une radio et un média internet aussi important que Radio Freedom.

Cette étude est publiée le 13 janvier 2018, au moment où vous lirez cette page des modifications auront sans doute été réalisées, je le souhaite pour le bien de tous les visiteurs et auditeurs de la Radio.

Du Wordpress

Le site de Freedom est basé sur un CMS. Un CMS c’est un système gratuit qui permet de mettre en place des sites internet rapidement. Ce système est « open source » c’est à dire que tout le monde a accès à son code et tout le monde peut le modifier. Ce système dispose aussi d’un écosystème qui permet de le personnaliser, c’est ce qu’on appelle des plugins et des thèmes.

L’inconvénient majeur de ce genre de système c’est que tout le monde peut savoir comment il a été conçu et dès qu’une faille de sécurité est découverte l’information est publiée et en libre accès à tous les pirates de la terre. La communauté autour de ce système est généralement très réactive, une mise à jour est rapidement proposée, mais pour les plugins et les thèmes c’est rarement le cas.

Pour éviter de se retrouver avec un site corrompu, il faut faire les mises à jour nécessaires comme sur un ordinateur, ce que Freedom ne fait visiblement pas régulièrement. La version du script de Freedom est actuellement sensible à 9 vulnérabilités d’ont une est critique. Et ceci sans considérer les plugins et le thème qui doivent avoir leurs propres vulnérabilités.

S’il faut choisir un CMS, autant choisir un CMS peu utilisé et facile à personnaliser sans le transformer en usine à gaz, un CMS comme SPIP made in France. Wordpress est adapté à des blogs, mais pour un site dépassant les 10000 visiteurs journaliers, il faut choisir un système plus robuste.

Un beau design à 59$

J’aurais aimé plébisciter le design du site, car en effet j’aime ce genre de design épuré qui mets en avant le contenu, l’information. Mais le concepteur du site n’en tirera aucune gloire car c’est un thème que tout le monde peut utiliser et acheter pour 59$, il s’appelle « The Fox Modern Magazine for Wordpress ». C’est un design très utilisé et qui est fait pour la masse.

Son prix d’achat peut avoir été de 2200$ si les termes de la licence ont été respectés (2200$ pour les revendeurs, 59$ les utilisateurs), mais là c’est beaucoup trop cher pour un design utilisé par plus de 1700 sites dont on n’a pas maîtrisé la réalisation et donc les logiques.

Je pense qu’il ne répond pas aux attentes spécifiques de Radio Freedom et qu’il est trop compliqué à personnaliser pour le faire évoluer. De plus ce genre de thème est « passe partout », contient donc beaucoup trop de code inutile et participe donc à la lenteur général du site.

Un site très lent

Le site est très très lent, il y a plusieurs raison à ça. PingDomTools annonce un poids de page d’accueil à 8 méga-octets et l’annonce comme faisant parti des 16% des sites internet les plus lents. Google PageSpeed lui donne une note de 11/100 avec un temps minimum de réponse de 2.8 secondes. Google pénalise les sites lents, c’est normal et c’est une grosse erreur de conception à considérer en priorité.

Le site utilise 13 feuilles de style CSS dans son entête et 48 fichiers javascript. Non seulement il faut les télécharger mais aussi les demander au serveur qui n’est qu’un serveur en protocole http1. Outre ce temps d’attente pour interroger et télécharger ces 61 fichiers, il faudra télécharger aussi pour un bon rendu de la page 37 polices d’écriture dont la très lourde « Font Awesome » qui fournit énormément d’icônes pour seulement quelques uns d’utilisés. 11 polices vietnamiennes et 3 polices grecs sont téléchargées sans raison.

A chaque fois que vous afficherez le site ou en tournerez les pages, quasiment tous ces fichiers seront à nouveau téléchargés car aucun délai d’expiration sur les fichiers statics n’a été spécifié et ils ne sont donc pas mis en cache par votre navigateur. Les images ne sont pas compressées, Google annonce une perte de 70% de temps rien que pour les images.

Normalement on chargerait les 48 fichiers javascript de façon asynchrone, c’est-à-dire on affiche d’abord la page puis on télécharge les scripts, mais là aucun de ces fichiers ne se télécharge en parallèle et il faut donc attendre de les avoir téléchargés pour afficher la page. C’est un gros problème tout particulièrement avec les scripts de publicité, si le serveur de publicité ne répond pas ou est lent ou défaillant, le site Freedom ne répondra que lorsque le serveur de publicité l’aura décidé et peut être jamais s’il ne répond pas ; et puis il faut aller le chercher en Allemagne car Freedom ne gère pas ses publicités.

Globalement il faudrait agglomérer les fichiers dans deux fichiers, un pour les CSS et un pour le Javascript, et charger le javaScript de façon asynchrone.

Cloudflare

Cloudfare est une sorte de Firewall, il permet de cacher un site internet et de ne pas exposer sa localisation exacte. Ça aide principalement contre le piratage parasite, mais ça ne protège pas contre les failles de sécurité du code.

L’inconvénient de Cloudflare c’est qu’il est basé exclusivement aux États-Unis. Donc un site protégé par Cloudfare est donc localisé aux États-Unis pour le visiteur et donc pour un utilisateur en dehors des USA c’est un peu plus de lenteur ajouté à la lenteur du site.

Mettre Cloudflare sur un site français oblige à consulter le site normalement situé en France et rapidement accessible, beaucoup plus loin c’est à dire aux USA et donc beaucoup moins rapidement. Ça serait comme prendre un ascenseur pour aller à un étage donné et pour cacher cet étage il faudra aller jusqu’au millième étage.

Il y a bien sûr d’autres solutions contre les troublions et en particulier une bonne analyse des logs, les journaux d’accès. Car les attaques sont souvent gratuites et très rarement réalisées par des spécialistes lorsque qu’elles touchent un site comme Freedom qui n’a à priori rien à se reprocher et peu d’ennemis crédibles en matière de sécurité informatique. Il suffit de retrouver les IPs dans les logs et de porter plainte.

Google News

Le site Freedom était inscrit à Google News jusqu’en Juillet 2017. Google News est un très gros générateur de trafic. Google News est indispensable pour un site qui publie des news ; tout le monde a laissé entrer Google news dans sa vie au moins une fois par semaine si ça n’est pas tous les jours ou toutes les heures. Pour un site d’actualité c’est impossible de faire l’impasse sur Google News.

Le site Freedom n’est plus présent dans Google News car il a changé d’adresse. L’adresse inscrite est www.freedom.fr mais il semblerait que depuis le mois de juillet et la refonte du site l’adresse soit maintenant freedom.fr sans le WWW. Google est sensible à ce genre de modification, il faut faire une nouvelle demande d’inscription.

Quand Freedom était encore présent dans Google News il y avait un bug, toutes les news étaient inscrites en tant que « communiqué de presse », c’est-à-dire des « copies » ou des « textes à diffuser » en langue de robot. Pour éviter ce genre de désagrément qui déclasse les articles dans les résultats de Google il faut transmettre dans le code des informations qui définissent le type de contenu publié.

Soit ça n’a pas été fait, soit ça a été mal fait, mais en tout cas l’équipe de Freedom n’a pas pu se rendre compte de l’impact réel d’une présence dans Google News sur le trafic. Google News c’est des milliers de visites par heure sur une simple news, et donc autant de revenus potentiels à générer.

Pas de SSL

Il n’y pas de SSL par défaut sur le site de Freedom (https). L’intérêt du SSL c’est d’éviter aux visiteurs du site de se faire espionner par tous les scripts de type bouton « j’aime » ou « share » mais aussi par les entreprises ou les fournisseurs d’accès qui disposent d’un contrôle sur le trafic de l’utilisateur (mots de passe, cookies..). Le SSL permet aussi d’éviter de se faire usurper l’identité du site mais dans le cas du site de Freedom je pense que c’est sans intérêt c’est juste une sécurité en plus. Dans tous les cas Google donne du bonus de classement aux sites utilisant le SSL, c’est pour embêter les réseaux sociaux concurrents qui devenaient des espions statistiques avec les sites sans le HTTPS.

Si on force le SSL en mettant le https à la place du http sur le site de Freedom le site semble ne pas fonctionner. Je n’ai pas identifié la raison mais vu qu’il n’est pas forcé par le site lui-même il vaut mieux le considérer comme non-fonctionnel.

Le SSL s’installe en quelques minutes, il peut être gratuit avec « Let’s Encrypt », il est idiot de se priver.

Mot de passe en claire

Les mots de passe sont en clair dans l’extension petites annonces du site. Il faut savoir que la majorité des gens utilisent toujours le même mot de passe et donc il y a dans la base de données de Freedom tous les mots de passe (email, banque, facebook etc..) d’un grand nombre de Réunionnais. Si un pirate mettait la main sur la base de données du site de Freedom alors il aurait accès aux mots de passe d’une grande quantité de Réunionnais et surtout les habitudes des Réunionnais en terme de mots de passe ; de quoi constituer une belle base de brute forçage de sites réunionnais.

Pour éviter ce genre de désagrément les bases de la sécurité informatique nous obligent à encrypter les mots de passe et à ne conserver en base de données que cette version cryptée. Pour contrôler le mot de passe, on encrypte ce que nous transmet l’utilisateur et on compare les deux versions cryptées comme ça on ne conserve qu’une image indécryptable du mot de passe et non pas le vrai mot de passe. C’est pour cette raison que lorsque vous perdez votre mot de passe sur la majorité des sites ils vous proposent de le changer car ils ne connaissent pas votre mot de passe ils ne peuvent que le changer, là Freedom nous l’envoi dès l’inscription par email pour confirmation.. ..qu’ils l’ont bien stocké en clair.

Pas de « cookie consent »

La loi Européenne et donc la loi française oblige les sites internet à informer leurs visiteurs s’ils utilisent des cookies et dans une certaine mesure les informer de ce qu’ils en font. Le site de Freedom utilise 26 cookies sans donner aucune information à ce sujet. Le site internet est donc hors la loi.

Je pense que cette directive est débile et n’a donné aucun résultat en terme de tracking des internautes. Les visiteurs ne prennent en général pas le temps de lire l’alerte et préfèrent cliquer rapidement sur « yes » pour qu’on les laisse lire leur site. Alors peut être que ça ne sert à rien, mais c’est obligatoire il faut insérer un « cookie consent » sous peine de procès.

Publicité

J’aurais aimé parler longuement « monétisation » mais je réserve cette analyse à Freedom elle même. Je pense que la publicité est mal intégrée. Elle ne donne pas suffisamment accès à tous les entrepreneurs réunionnais qui souhaiteraient annoncer sur le site.

Une solide intégration Adsense via le système DFP serait préférable. Sans compter qu’avec une vraie optimisation aux petits oignons le site serait rapidement considéré par Google avec les avantages qui en découleraient. Il faut en discuter avec des chiffres que je n’ai pas.

Je propose

On va s’arrêter là même s’il reste encore beaucoup de choses à écrire, l’essentiel a été exposé.

Radio Freedom peut faire beaucoup mieux et beaucoup plus grand que cette version de freedom.fr, alors qu’ils m’embauchent :)

Mise à jour : Une partie des conseils ont été pris en compte, mais aucune nouvelle de Freedom :)


Poser une question, envoyer un message